Benvenuti in questa sezione, relativa al trattamento di dati personali effettuato da Serenissima Informatica S.p.A. nelle attività svolte per conto dei propri clienti. Di seguito trovate alcune informazioni utili sotto forma di FAQ e i documenti di nomina che abbiamo predisposto per regolare il rapporto contrattuale relativo al trattamento dei dati personali nei servizi a canone offerti da Serenissima Informatica.
I prodotti o servizi forniti da Serenissima Informatica sono conformi alla normativa privacy?
Serenissima Informatica attua misure di sicurezza adeguate, nel rispetto della normativa privacy (in particolare del GDPR e della normativa nazionale), per proteggere i dati personali da violazioni che comportino la perdita di riservatezza, integrità o disponibilità dei dati. Eventuali estensioni dei prodotti devono essere valutate caso per caso in ottica di privacy by design e by default.
Qual è il ruolo di Serenissima Informatica nel trattare eventuali dati personali?
Serenissima Informatica tratta dati personali di persone fisiche facenti parte dell’assetto organizzativo dei propri clienti quale titolare del trattamento, come descritto nell’informativa clienti disponibile al link https://www.serinf.it/privacy. Nelle attività svolte per conto del cliente, Serenissima Informatica tratta i dati quale responsabile del trattamento, secondo quanto previsto nell’apposito atto di nomina ex art. 28 del GDPR (Reg. UE 2016/679), eventualmente sottoscritto con il Contratto di servizi e disponibile al link https://www.serinf.it/DPA.
Perché deve essere sottoscritta una nomina a responsabile del trattamento?
Quando Serenissima Informatica eroga i propri servizi trattando dati personali per conto del cliente, quest’ultimo deve nominare Serenissima Informatica quale responsabile del trattamento, come previsto dall’art. 28 del GDPR (Reg. UE 2016/679).
Quando questo avviene, le condizioni di nomina a responsabile del trattamento (Accordo per la protezione dei dati personali o data protection agreement, anche “DPA”), sono pubblicate al link https://www.serinf.it/DPA e integrate nel Contratto di servizi.
Perché ci sono più documenti relativi al DPA?
La norma prevede che il contratto di nomina a responsabile del trattamento “stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”.
Nel DPA parte generale sono descritti gli obblighi e i diritti del titolare del trattamento mentre nei DPA parte speciale, sono descritti i restanti contenuti riferiti ai diversi servizi offerti. Questo permette a Serenissima Informatica di gestire i propri obblighi in modo chiaro e volto alla tutela dei dati personali trattati.
Quali altri documenti sulla privacy sono necessari?
Al link https://www.serinf.it/privacy Serenissima Informatica fornisce informazioni utili circa il modo in cui tratta i dati personali e i riferimenti di contatto. Nei documenti ivi richiamati sono descritti tutti i contenuti previsti dalla norma affinché gli interessati (ad esempio i clienti) sappiano come e perché Serenissima Informatica tratterà i loro dati personali.
Il soggetto che fruisce dei prodotti o servizi di Serenissima Informatica, qualora si qualifichi come titolare del trattamento, è allo stesso modo tenuto a fornire tali informazioni (si vedano gli artt. 13 e 14 del GDPR) ai soggetti di cui tratti i dati personali (ad esempio i fruitori finali dei servizi).
Come ottenere ulteriori informazioni sulla gestione dei dati personali da parte di Serenissima Informatica?
Per ogni ulteriore informazione sulla gestione dei dati personali consultare la pagina https://www.serinf.it/privacy oppure scrivere un’e-mail all’indirizzo privacy@serinf.it o a dpo@serinf.it per contattare il Data Protection Officer nominato.
CONTRATTO PER SERVIZI A CANONE – DPA – PARTE GENERALE
ACCORDO PER LA PROTEZIONE DEI DATI PERSONALI o DATA PROTECTION AGREEMENT (anche “DPA”)
(ex art. 28 Regolamento UE 2016/679)
Tra
Il soggetto individuato quale Committente (di seguito il “Committente”) nel contratto di servizi di cui la presente nomina costituisce parte integrante (di seguito il “Contratto”)
e
Serenissima Informatica S.p.A., con sede in Padova (PD) Via Croce Rossa 5, P.IVA 01488090281 (“Fornitore” o “Responsabile”) (entrambe congiuntamente “le Parti”)
Premesso che
A. il Committente ha sottoscritto uno o più contratti per servizi a canone con il Fornitore (di seguito il “Contratto”);
B. l’esecuzione del Contratto comporta che il Fornitore svolga, per conto del Committente, operazioni di trattamento di dati personali, così come definite ai sensi dell’art. 4 del Regolamento UE 2016/679 (di seguito anche “GDPR”), relativi a persone fisiche identificate o identificabili (di seguito anche “interessato” o “interessati”);
C. ai sensi dell’art. 28 paragrafo 1 del GDPR, qualora un trattamento debba essere effettuato per conto del titolare del trattamento, quest’ultimo può affidare delle attività di trattamento ad un soggetto, che prende il nome di Responsabile del trattamento, purché presenti garanzie sufficienti, in particolare in termini di conoscenza specialistica, affidabilità e risorse, per mettere in atto misure tecniche e organizzative che soddisfino i requisiti del GDPR, e garantisca la tutela dei diritti dell’interessato;
D. ai sensi dell’art. 28 paragrafo 3 del GDPR, il trattamento dei dati personali effettuato dal responsabile del trattamento deve essere disciplinato “da un contratto o da altro atto giuridico a norma del diritto dell’Unione o degli Stati membri, che vincoli il responsabile del trattamento al titolare del trattamento e che stipuli la materia disciplinata e la durata del trattamento, la natura e la finalità del trattamento, il tipo di dati personali e le categorie di interessati, gli obblighi e i diritti del titolare del trattamento”;
E. il Committente, considerata la sussistenza dei requisiti di esperienza, capacità e affidabilità in capo al Fornitore intende nominare quest’ultimo, ai sensi dell’art. 28 del GDPR, quale responsabile del trattamento dei dati personali elaborati per l’esecuzione del Contratto;
Tutto ciò premesso, le Parti stipulano e convengono quanto segue
1. OGGETTO
1.1 Il Committente nomina il Fornitore, che accetta espressamente, quale Responsabile del trattamento, ai sensi dell’art. 28 del GDPR, per i trattamenti di dati personali descritti nella parte speciale del presente DPA, disponibile al link https://www.serinf.it/DPA, applicabile in conformità all’Allegato A del Contratto;
1.2 Il presente Accordo, nonché eventuali accordi successivi posti in essere tra le Parti per iscritto, definiscono integralmente le condizioni in base alle quali il Responsabile s’impegna a effettuare per conto del Committente le operazioni di trattamento sui dati personali, a cui ha accesso o di cui entra in possesso, necessarie all’adempimento degli obblighi derivanti dal Contratto, nonché per la prestazione di eventuali servizi accessori allo stesso.
2. DURATA DEL CONTRATTO
2.1 La durata del presente Accordo è funzionalmente collegata alla durata del Contratto sottoscritto tra le parti e menzionato nelle premesse, la cessazione dei cui effetti produce automaticamente la cessazione degli effetti anche del presente Accordo, salvo il caso in cui ulteriori obblighi – anche di legge – impongano il prolungamento dell’attività di trattamento dei dati personali da parte del Responsabile.
2.2 Una volta cessati, per qualsiasi causa, gli effetti del presente Accordo, il Responsabile provvederà, secondo quanto previsto dall’art. 11 del Contratto, alla cancellazione o restituzione dei dati personali trattati, fatti salvi i soli casi in cui la conservazione dei dati sia richiesta da norme di legge e/o altre finalità (contabili, fiscali, ecc.)
3. OBBLIGHI DEL RESPONSABILE NEI CONFRONTI DEL TITOLARE
3.1 Obblighi generici
3.1.1 Il Responsabile s’impegna a:
a. trattare i dati personali per le sole finalità legate all’esecuzione del Contratto;
b. designare le persone autorizzate ad effettuare operazioni di trattamento sui dati forniti dal Committente ai sensi dell’art. 29 del GDPR, identificando l’ambito autorizzativo consentito, e garantire che le stesse si siano impegnate alla riservatezza;
c. permettere la realizzazione di ispezioni, da parte del Committente o di un altro soggetto incaricato dal medesimo, durante l’orario di lavoro e previo accordo tecnico, economico ed organizzativo;
d. collaborare con il Committente, su richiesta dello stesso, nel caso in cui fossero eseguite ispezioni o indagini da parte delle competenti Autorità di controllo, sia presso il Committente che presso il Responsabile, onde dimostrare la conformità di tutte le attività inerenti al trattamento dei dati personali.
3.2 Nomina di sub-responsabili
3.2.1 Il Committente autorizza in via generale il responsabile alla nomina di sub-responsabili.
3.2.2 Il rapporto giuridico instaurato tra Responsabile e sub-responsabili, seppur totalmente distinto da quello intercorrente tra il Committente e il Responsabile, dovrà obbligatoriamente rispettare il contenuto del presente Accordo. Pertanto, il Responsabile s’impegna affinché nell’accordo concluso con i sub-responsabili non vi siano disposizioni che si pongano o possano astrattamente porsi in contrasto con quanto previsto in questa sede. In ogni caso, il Responsabile s’impegna a convenire con i sub-responsabili un accordo che garantisca adeguati livelli di protezione dei dati personali e di sicurezza delle informazioni ad essi correlate.
3.2.3 Il Responsabile è comunque tenuto a garantire che i propri obblighi in materia di protezione dei dati derivanti dal presente Accordo, siano validi e vincolanti anche per i sub-responsabili.
3.3 Esercizio dei diritti dell’interessato
3.3.1 Ove l’interessato intenda esercitare i propri diritti e ne faccia richiesta al Responsabile, quest’ultimo dovrà inoltrare tale richiesta al Committente senza ingiustificato ritardo. In ogni caso, Il Responsabile è tenuto ad assistere il Committente con misure tecniche e organizzative adeguate, nei limiti di quanto ragionevolmente possibile, al fine di soddisfare l’obbligo del titolare di dare seguito alle richieste per l’esercizio dei diritti dell’interessato. In particolare, qualora il Responsabile tratti dati oggetto di richiesta di portabilità, si obbliga ad assistere il titolare del trattamento con misure tecniche e organizzative adeguate al fine di rispondere a detta richiesta, salvo successivamente addebitare al titolare i costi sostenuti per l’attività.
3.4 Notifica e comunicazione delle violazioni dei dati personali
3.4.1 Il Responsabile, nel caso in cui venga a conoscenza del verificarsi di una violazione dei dati personali, si obbliga a notificare al Committente l’avvenuta violazione senza ingiustificato ritardo ed in ogni caso non oltre le 36 ore dal momento in cui ne sia venuto a conoscenza. Questa notifica è accompagnata da tutta la documentazione utile al fine di permettere al titolare, se necessario, di notificare questa violazione all’Autorità di controllo competente ed eventualmente agli interessati nel rispetto di quanto previsto dagli artt. 33-34 del GDPR.
3.5 Supporto nei confronti del Committente del trattamento
3.5.1 Il Responsabile, su richiesta del Committente, s’impegna in particolare e previo accordo tecnico, economico ed organizzativo a:
a. coadiuvare il Committente nella realizzazione dell’analisi di impatto relativa alla protezione dei dati personali prevista dall’art. 35 GDPR;
b. coadiuvare il Committente nell’eventuale consultazione preventiva dell’Autorità di controllo, prevista dall’art. 36 GDPR.
3.6 Misure di sicurezza
3.6.1 Il Responsabile si impegna ad adottare, per tutta la durata dell’incarico, adeguate misure di sicurezza ex art. 32 GDPR. In particolare, dette misure di sicurezza saranno finalizzate a tutelare i dati e/o a ridurre al minimo i rischi rispetto a:
a. distruzione o perdita intenzionale e/o accidentale di dati;
b. trattamento non autorizzato o comunque non conforme alle finalità di trattamento concordate;
c. accesso non autorizzato.
3.6.2 È fatto obbligo per il Responsabile di aggiornare, revisionare, modificare le misure di sicurezza già adottate, ove specifiche esigenze tecniche o di tutela lo richiedano, previa comunicazione di tale esigenza al Committente.
3.7 Trasferimento di dati personali extra UE
3.7.1 Il Responsabile s’impegna a circoscrivere gli ambiti di circolazione e di trattamento dei dati personali (es. memorizzazione, archiviazione e conservazione dei dati sui propri server o in cloud) ai Paesi facenti parte dell’Unione Europea ovvero a procedere al trasferimento fuori dal territorio dell’Unione Europea o dello Spazio Economico Europeo in presenza degli strumenti previsti dagli artt. 45-49 del GDPR (a titolo esemplificativo, e non esaustivo, il trasferimento verso paesi giudicati adeguati dalla Commissione Europea, qualora siano state approvate norme vincolanti di impresa o siano state adottate clausole contrattuali standard), salvo che tale trasferimento:
a. sia concordato con il Committente o dallo stesso richiesto nell’ambito dell’esecuzione del Contratto (a titolo esemplificativo, e non esaustivo, l’utilizzo di uno specifico servizio cloud); sia richiesto a norma del diritto dell’Unione Europea o della legislazione dello stato membro cui il Responsabile è soggetto, in tal caso il Responsabile si impegna ad informare il Committente di tale obbligo giuridico prima del relativo trattamento, a meno che le leggi interessate proibiscano una tale informazione per rilevanti motivi di interesse pubblico.
4. OBBLIGHI DEL COMMITTENTE DEL TRATTAMENTO
4.1 Il Committente è tenuto ad informare immediatamente e in modo completo il Responsabile non appena riscontri errori e/o irregolarità nel trattamento dei dati effettuati da quest’ultimo.
4.2 Il Committente è tenuto a fornire al Responsabile un punto di contatto cui rivolgersi per qualsiasi questione relativa alla protezione dei dati che consegua o sia in qualsiasi modo connesso al presente Accordo.
5. DIRITTO D’INFORMAZIONE DEGLI INTERESSATI
5.1 Resta in capo al Titolare, al momento della raccolta dei dati, l’obbligo di fornire agli interessati le informazioni relative ai trattamenti dei dati personali che realizza, ai sensi degli artt. 13-14 GDPR.
6. RESPONSABILITÀ E RISARCIMENTO DEL DANNO
6.1 A norma dell’art. 82 GDPR, Il Responsabile risponderà del danno causato dal trattamento qualora venga dimostrato che abbia agito in modo difforme o contrario rispetto alle legittime istruzioni impartite per iscritto dal Committente ovvero che non abbia adempiuto agli obblighi contrattuali.
7. MISCELLANEA
7.1 Qualsiasi modifica del presente Accordo sarà valida e vincolante solo se risultante da atto scritto o da comunicazione effettuata in forma scritta, anche in formato elettronico.
7.2 Il presente Accordo annulla e sostituisce ogni altra eventuale nomina a Responsabile del Trattamento del Fornitore già sottoscritta tra le Parti relativamente alle medesime attività di trattamento derivanti dal Contratto.
7.3 Qualora singole disposizioni del presente atto risultino invalide o inapplicabili, la validità e l’applicabilità delle altre disposizioni ivi contenute rimarranno impregiudicate.
7.4 Per tutto quanto non previsto dal presente Accordo si rinvia alle disposizioni generali vigenti ed applicabili in materia di protezione dei dati personali.